Viele Anwender benutzen im Netz einfache und leicht zu erratende Passworte und als ob das nicht schon unsicher genug wäre, werden ähnliche oder nur leicht abgewandelte Passworte für die verschiedensten Services im Internet benutzt, oft sogar werden Unternehmenspassworte, die man sich einmal erfolgreich gemerkt hat, auch bei privaten Anmeldungen und Registrierungen benutzt – weil man sie für sicher hält und sich so nur ein Passwort merken muss.
Ob Facebook, Twitter, Amazon, Ebay oder das Forum des Gamer-Clans: Wer überall dasselbe vielleicht auch noch einfach zu erratende Passwort benutzt, öffnet verbrecherischen Aktivitäten Tür und Tor, denn Betrüger haben längst erkannt, dass man mit nur einem Passwort eines Opfers auf diverse Services zugreifen kann. Wurde das Passwort dann erstmal geändert, ist man von seinem Zugang ausgesperrt und eventuell in Erklärungsnot, wenn z.B. Schindluder mit dem eigenen e-Mail-Account getrieben wird.
Die “Bösen” haben sich mittlerweile zu gut funktionierenden Zweckgemeinschaften zusammengeschlossen – ob es sich um die Versender von SPAM-Mails aus sogenannten BOT-Netzen aus gekaperten Rechnern handelt, oder um Trickbetrüger, die Bankkonten leerräumen.
Der Trick
Gefakte Freundschaftsanfragen in sozialen Netzwerken oder Handelsplattformen, wie Twitter, Ebay, Facebook, Amazon, MSN und und und… Neu sind Anfragen von Spieleportalen, wie Blizzard (für WoW), NC-Soft/Arenanet (für Guild Wars) oder Steam. Wer auf die vermeintliche Benachrichtigung klickt, landet nicht beim sozialen Netzwerk, sondern auf einer Website der Betrüger, die dem Original bis auf’si-Tüpfelchen gleicht. Man gibt seine Zugangsdaten ein und diese landen sofort in der Tasche des Betrügers oder Datensammlers, die sie weiterverkauft. Längst beschränken sich solche Versuche an Ihre Passworte zu kommen, nicht mehr auf Banken, sind korrekt mehrsprachig und gut übersetzt.
Die zweite Methode der bösen Buben ist, auf eine präparierte Website umzuleiten, die irgendeine Sicherheitslücke in den am häufigsten genutzten Browsern wie Firefox oder dem Internet Explorer oder deren Erweiterungen (Plugins) ausnutzen. Diese nur wenige KB großen Schadprogramme starten sich sofort selbst und erscheinen in der Prozessliste von Windows perfiderweise zum Teil sogar unter den Namen wie “virus-scan.exe” oder den Programmnamen bekannter (aber harmloser) Prozesse. Anschließend laden diese Progrämmchen weitere Malware aus dem Internet herunter. Das können sogenannte Keylogger sein (die alle Tastaureingaben aufzeichenen und später versenden, auch Passworte) oder sogar Root-Kits, mit denen die Bösewichte anschließend volle Kontrolle über den heimischen PC erlangen. Der PC wird selbst Teil eines “Bot-Netzes” – der Besitzer merkt davon oftmals gar nichts, denn der eigene Rechner ist zum “Zombie” mutiert und führt nur auf Anfrage seines “Herrn” gewiße Zusatzaufträge aus – z.B. den Massenversand von SPAM oder Angriffe auf andere Rechner und Netzwerke.
Wie kann ich meine Daten schützen?
- Benutzen Sie niemals ein Passwort für mehrere Services!
- Benutzen Sie niemals Namen (der/des Liebsten) oder von Haustieren o.ä. – solche Informationen gibt man viel zu schnell unbeabsichtigt in sozialen Netzwerken oder im Freundes- & Bekanntenkreis preis
- Keine Geburtsdaten
- Nutzen Sie nicht Ihre PIN vom Handy oder EC-Karte als Passwort oder Teil Ihres Passwortes
- Vergessen Sie (rückwärts) – so dumm sind die Kriminellen nicht, dass sie das nicht ausprobieren oder einen Computer ausprobieren lassen
- Klicken Sie niemals auf Links, die Ihnen von irgendeinem Service zugesendet werden. Wer z.B. eine Freundschaftsanfrage von Facebook bekommt, sollte immer selbst den Browser öffnen und nachschauen, ob diese Freundschaftsanzeige wirklich existiert oder er auf eine Betrugsseite umgeleitet werden soll, auf der er dann versehentlich sein Passwort verrät
- Setzen Sie Ihre Passworte aus mindestens 8 Stellen zusammen. Mischen Sie Buchstaben, Ziffern, Groß-/Kleinschreibung und Sonderzeichen! Nutzen sie notfalls einen Passwortgenerator
- Wenn Sie sich Ihr Passwort absolut nicht merken können, notieren Sie es und verwahren den Zettel weit weg vom Computer
- Stellen Sie sich bei der Wahl jedes Passwortes, auch eines für ein Spaß-Forum, vor, es wäre dazu da, um Ihr Bankkonto zu schützen.
Wenn Sie wirklich unsicher sind, ob Sie sich mehrere verschiedene Passworte merken können, merken Sie sich eines und eine komplexe Vorgehensweise zum nächsten Passwort zu kommen.
Im Netz finden sich auch Programme, die eine Liste Ihrer Passworte führen kann, und diese verschlüsselt und mit einem Masterpasswort gesichert speichert – z.B. auf Ihrem Handy.
Darüber hinaus:
- Schützen Sie Ihren PC mit Anti-Viren-Programmen!
- Nutzen Sie niemals (!) mehrere davon gleichzeitig.
- Bei Problemen oder wenn Sie einen Virus am Werk erkennen, löschen Sie nicht in übertriebenen Aktionismus wir Daten und Programme, sondern trennen Sie Ihren Rechner erstmal vom Netz.
- Lassen Sie sich Ihre E-Mails grundsätzlich als “reiner Text” anzeigen. Viele E-Mail werden im HTML-Format versendet und laden selbstständig Daten aus dem Internet nach. Selbst wenn Sie nicht auf einen Link klicken bekommt der Absender so Informationen darüber, dass sein SPAM erfolgreich angekommen ist oder lädt sogar Schadcode nach.
- Wenn es Ihr E-Mail-Programm erlaubt, lassen Sie bei potentiell gefährlich eingestuften Mails alle (!) Internetadresse blocken. So können Sie nicht “versehentlich” auf einen vermeintlich sicheren Link klicken.
- Nutzen Sie als Minimalschutz Microsoft Security Essentials (MSE, kostenlos von Microsoft)
- Besorgen Sie sich eine Heise-CD namens “Desinfec’t” – eine bootbare CD mit drei kostenlosen Virenscannern verschiedener namhafter Hersteller. Sie brauchen nichts zu installieren. Wenn Sie die CD weder downloaden, noch brennen können, fragen sie “den Computerfreak” in Ihrem Bekanntenkreis. Er (oder sie) wird die CD kennen und hat sie vielleicht noch.
- Informieren Sie sich regelmäßig auf Heise Security über neue Bedrohungen
Schützen Sie auf auf jeden Fall Ihre Daten, wo immer es geht! Sonst werden Sie sich irgendwann die Frage stellen müssen:
Wie konnte das bloß passieren?